日本提出2020年創新願景的期中建言，主張應自未來需求中發掘創新方向

　　聯合國人權理事會(Human Rights Council)於2016年3月8日依據28/16號「數位時代下之隱私權」(Right to Privacy in the Digital Age)決議，設立隱私特別報告員(Special Rapporteur on Privacy, SRP)，專責調查各國隱私保護情形並每年定期向人權理事會和聯合國大會提交隱私報告(Report of the Sepcial Rapporteur on the right to privacy)。 　　2017年年度隱私報告(A/HRC/34/60)於2月24日提出，報告除延續第一年報告中所列出的五大隱私優先課題 (跨國界隱私認知、安全與監督、巨量資料與開放資料、健康資料、企業擔任資料管理者議題等)，主題聚焦於「情報蒐集」行為的監督，將政府監督行為歸類為十項： 基於使用國際化、標準化的術語和語言而有監督必要； 基於了解國家體系、體系比較之監督必要，以秘密(secretive)或公開形式進行； 促進、保護基本人權之相關措施； 保障與救濟措施(隱私特別報告員建議採國際性層次)； 責任與透明度； 為蒐集、討論實務實踐狀況； 對政府監督行為之進一步討論； 尋求與公民溝通管道； 基於放寬安全部門、執法機關秘密性監督之必要； 基於對政府監督議題之公共論壇需求。 　　期中報告對現階段政府監督行為以隱私友善(privacy-friendly)立場出發，總結後續推動方向如下： 為何民粹主義(polulism)、隱私兩議題與安全議題會產生衝突； 國家如何透過監督情報增進隱私保護； 誰有權主張隱私權，隱私權的普世性(universality)於政府監督行為具特別意義； 隱私權如何透過內國法、國際法的推動而更加落實； 透過更廣泛討論，關於監督的法律文件及相關國際法規範可期待成熟發展。

　　歐盟資料保護監督機關(European Data Protection Supervisor, 下稱EDPS)於2014年7月14日，針對利用雲端運算以及行動設備，將個人資料從歐盟境內傳輸至非歐盟國家之部分，提出意見書作為參考指引。EDPS通常會針對雲端業者在從事商業服務時，進行監督審查，當個人資料透過雲端運算服務進行傳輸或處理時，會由EDPS先行確認，以確保該傳輸是否符合歐盟之個人資料保護指令(Directive 95/46/EC)與規則(Regulation (EC) No 45/2001)之規範。 　　有鑑於跨境合作或使用傳輸服務等需求，歐盟境內將個人資料傳輸至第三國或國際組織之情形日益劇增，此參考指引之主要目的在於詳加解釋歐盟資料保護規則(Regulation (EC) No 45/2001)中關於國際間個人資料傳輸之規定以及應該如何適用。 　　首先，該指引針對何謂個人資料傳輸以及歐盟資料保護規則第9條之範圍做出說明，後續則分別就適當保護之意涵，以及由歐盟執委會基於規則第9.5條之規定依權限得決定第三國是否已達適當保護標準之國家等部分加以論述。最後，該指引則提供確認表，在資料傳輸前應經過一定的確認流程，包括確認資料接收的國家或組織是否已有適當的保護層級，若無，則是否尚有其他資料可證明。如上述皆無法證明，則應考慮是否有例外情況，例如:取得資料所有人同意得進行傳輸、資料所有人與資料控管者因契約約定同意傳輸、資料控管者與第三人因契約約定，基於資料所有人之利益而傳輸、基於重要公益事由或其他法律上之事項必要傳輸、基於保護資料所有人之重要利益而傳輸、基於資料提供於大眾而傳輸等。倘缺乏以上例外情形，則可考慮資料控管者是否得援引自己已經具備適當的安全機制而可進行資料傳輸。最後，如無任何安全之保護，則資料將無法進行傳輸至第三國。 　　綜上，歐盟針對資料傳輸予第三國之部分做出更詳細之說明作為參考指引，使資料之傳輸與流通更有明確的規範方向，其後續適用之成效為何應可持續觀察。

　　由於近日頻傳醫院遭受勒索軟體攻擊（ransomware attacks），美國加州檢察總長於2021年8月24日發布官方公告（bulletin）：在加州州法「醫療資訊保密法」（Confidentiality of Medical Information Act, CMIA）與聯邦法「健康保險可攜與責任法」（Health Insurance Portability and Accountability Act of 1996, HIPAA）規範下，蒐集、處理和利用醫療健康資料的醫療照護機構，有採取適當措施與事故通報的義務，以維護醫療健康資料保密性。 　　針對「採取適當措施」的內容，美國加州檢察總長於本次官方公告中，提出明確指引（guidance）：醫療照護機構須至少採取下列5項防範措施（preventive measures），以避免勒索軟體威脅： 確保所有存取醫療健康資料的作業系統與軟體，均升級至最新版本； 安裝防毒軟體，並維護其運作； 定期為員工舉辦教育訓練，包含教導員工不要點擊可疑網址和防範釣魚電子郵件（phishing email）； 限制員工下載、安裝和運作未經批准的軟體； 維護和定期測試資料備份與救援計畫，以便於事故發生時，控制對資料和系統的影響範圍及程度。 　　此外，針對「資料外洩事故通報義務」（breach notification obligations），美國加州檢察總長指出：依據「加州民法」（California Civil Code）第1798.82條，擁有或經授權使用含有個人資料的「電腦化資料」（computerized data）的醫療照護機構，於發生，或可合理確信發生，影響超過500位加州居民的資料外洩事故時，即負有將該事故通報檢察總長辦公室的義務。

　　為實現歐洲公民資料一致保護水準之期待，全面革新歐盟各會員國資料保護規範的一般資料保護規則(General Data Protection Regulation, GDPR)，已於2016年4月14日由歐洲議會正式通過，且將在2018年5月25日生效，該規則異於資料保護指令（Data Protection Directive，95/46/EC）之處，在於規則無待各會員內國法化，得以直接適用，然而生效前的過渡期間，歐盟各國為因應新修正規則預作準備；近期，法國政府在「數位共和國」(République Numérique)法案中，欲修改現行關於資料保護之法律，如法國資料保護法(Loi Informatique et Libertes Act N°78-17 Of 6 January 1978)，以達歐盟資料保護水準。 　　法國國民議會(Assemblée nationale)於2016年1月一讀通過，參議院(Sénat)隨後在5月提出修正案中第26 條之一(Article 26 bis A)，要求個人資料應儲存於歐盟或法國境內的資料中心，同時為符合與歐盟的國際承諾會員國，並禁止個人資料傳輸至非歐盟的第三國，而參議院修法理由是為了確保法國規範符合歐盟資料保護水準，並依據先前歐盟法院關於安全港無效之判決的結果為修訂。 　然而，資料在地化條款目前仍不明確，但此規定恐對資料傳輸設下更多限制；雖然在GDPR第23條規範關於各國決定限制權利和義務的範圍，資料傳輸至第三國並不在此列，故為加速修法程序，聯合調解委員會(Commission mixte paritaire)將於近期內審查調整，國民議會和參議院的代表仍能針對此條款提出意見以達成最終共識，後續修法值得關注。